(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115037551A(43)申请公布日2022.09.09(21)申请号202210753945.5(22)申请日2022.06.29(71)申请人北京奇艺世纪科技有限公司地址100080北京市海淀区北一街2号鸿城拓展大厦10、11层(72)发明人李端丰(74)专利代理机构北京润泽恒知识产权代理有限公司11319专利代理师苏培华(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书16页附图5页(54)发明名称连接权限控制方法、装置、电子设备及存储介质(57)摘要本申请提供了一种连接权限控制方法、装置、电子设备及存储介质。所述方法包括：响应于客户端发送的针对容器集群的访问请求，在建立与容器集群的后台系统的连接之前，获取客户端的互联网协议地址；调用地址写入模块，将互联网协议地址写入目标协议层地址选项内；在目标协议层地址选项内添加互联网协议地址的地址访问策略；在地址访问策略为允许访问策略的情况下，调用预置跟踪插件对互联网协议地址进行跟踪，得到客户端访问的容器集群内的目标容器，及客户端与目标容器之间的交互数据信息；根据交互数据信息和预置流控规则，对客户端与容器集群之间的连接权限进行控制。本申请可以实现针对性的进行出/入向流量控制和监控，增加网络的可监测性。CN115037551ACN115037551A权利要求书1/2页1.一种连接权限控制方法，应用于网络地址转换层，其特征在于，包括：响应于客户端发送的针对容器集群的访问请求，在建立与所述容器集群的后台系统的连接之前，获取所述客户端的互联网协议地址；调用预先加载的地址写入模块，将所述互联网协议地址写入目标协议层地址选项内；在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略；在所述地址访问策略为允许访问策略的情况下，调用预置跟踪插件对所述互联网协议地址进行跟踪，得到所述客户端访问的所述容器集群内的目标容器，及所述客户端与所述目标容器之间的交互数据信息；根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制。2.根据权利要求1所述的方法，其特征在于，在所述获取所述客户端的互联网协议地址之前，还包括：编译预设脚本，生成所述地址写入模块；在内核中加载所述地址写入模块；在接收到所述客户端的访问请求之后，启动所述地址写入模块。3.根据权利要求1所述的方法，其特征在于，所述调用预先加载的地址写入模块，将所述互联网协议地址写入协议层地址选项内，包括：在所述地址写入模块为传输控制协议对应的地址写入模块的情况下，基于所述地址写入模块将所述互联网协议地址写入所述传输控制协议的地址选项内；在所述地址写入模块为用户数据报协议对应的地址写入模块的情况下，基于所述地址写入模块将所述互联网协议地址写入所述用户数据报协议的地址选项内。4.根据权利要求1所述的方法，其特征在于，所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略，包括：判断所述互联网协议地址是否处于地址黑名单内；在确定所述互联网协议地址处于地址黑名单内的情况下，在所述目标协议层地址选项内添加所述互联网协议地址对应的禁止访问策略；在确定所述互联网协议地址未处于地址黑名单内的情况下，在所述目标协议层地址选项内添加所述互联网协议地址对应的允许访问策略。5.根据权利要求1所述的方法，其特征在于，在所述在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略之后，还包括：在携带所述目标协议层地址选项访问所述后台系统的应用层之前，解析所述目标协议层地址选项，得到解析结果；在所述解析结果指示所述互联网协议地址的访问策略为禁止访问策略的情况下，断开所述客户端与所述后台系统之间的网络连接；在所述解析结果指示互联网协议地址的访问策略为允许访问策略的情况下，建立所述客户端与所述后台系统之间的网络连接。6.根据权利要求1所述的方法，其特征在于，所述根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制，包括：根据所述预置流控规则，判断所述交互数据信息是否为攻击行为信息；2CN115037551A权利要求书2/2页在所述交互数据信息为攻击行为信息的情况下，修改与所述客户端对应的防火墙配置信息，以断开所述客户端与所述容器集群之间的连接。7.根据权利要求1所述的方法，其特征在于，在所述根据所述交互数据信息和预置流控规则，对所述客户端与所述容器集群之间的连接权限进行控制之前，还包括：获取所述后台系统配置的流量控制策略；对所述流量控制策略进行编译处理，生成所述预置流控规则；在内核中加载所述预置流控规则，以启用所述预置流控规则。8.根据权利要求1所述的方法，其特征在于，所述调用预置跟踪插件对所述互联网